Se ha detectado una vulnerabilidad de nivel crítico en un plugin de WordPress, la cual permite a usuarios autenticados con permisos de nivel suscriptor o superiores modificar datos de servicio interno.
Hasta la versión 1.2.12 del plugin WP Remote Users Sync para WordPress presenta una vulnerabilidad de falsificación de solicitudes del lado del servidor a través de la función AJAX ‘notify_ping_remote’.
La vulnerabilidad es designada con el identificador CVE-2023-3958, de tipo Server-Side Request Forgery (SSRF), posee una calificación CVSS de 8.5 y se considera como una amenaza crítica.
Afortunadamente, la vulnerabilidad ya se encuentra parcheada en la versión 1.2.13.
Productos Afectados
- WP Remote Users Sync plugin versiones 1.2.12 y anteriores.
Solución
- Actualizar a la versión 1.2.13 que ya se encuentra parcheada.
Recomendación
- Se recomienda a los usuarios mantener los servicios de WordPress actualizados.
Referencias